|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 06 Apr 2001 10:30:54
To : All
Subject : Re: drweb.ru news
--------------------------------------------------------------------------------
Maxim Timofeyev wrote:
>
> AB> Hо imho переодически поднимается
> AB> вопрос о целесообразности размещения разных сервисов на одном хосте с
> AB> файрволом.
> Да. Такой вопрос периодически поднимается... мною... ;)
Так я прямо по адресу ... ;)
А если серьезно, то и не только в этой эхе о таком говорят. Типичная
инженерная задача. Учитывая низкую стоимость линукса может выйти даже
очень не слабо, как продукт (в кобальты прошу не тыкать ;).
> К сожалению чаще всего ответ, либо тишина, напоминающее приблизительно
> следующее: "Лучше бы не ставили всякие там *nix'ы ибо стоит NT, которую мы
> умеем администрировать и все работает. А вот эти *nix'ы..." ну и т.д. с
> намеком на то, что они нафиг не нужны ибо на их любимой NT понавешано столько
> севисов, что когда запускаешь какой-нибудь сканер они светяться как новогодние
> елки. ;(
Я уже перестал с такими спорить. Последняя моя беседа протекала так. Я
сделал внимательную мину и уважительно произнес: "Hу зачем нам
специалистам друг друга переучивать. Вы занимайтесь HТи, а я займусь
реальными вещами." И пока товарищ тыкал в настройки пост-офиса, я сваял
еще один сервак с кучей сервисов.
> AB> У меня например все тоже в одном ящике. Вообще все. Hо вот
> AB> бинда я поставил только для внутренних пользователей. Планируемое
> AB> размещение бинда для всех будет производится скорее всего на отдельно
> AB> взятой машинке.
> Hу если на то пошло при всей дырявости отдельно взятого сервиса ИМХО нет
> смысла для каждого ставить отдельный компьютер. ;)
Согласен, что некузяво. Hо как-то иначе не вырисоввывается. Это
несколько не моя ниша. До сих под все, что я делал всегда снаружи
закрывалось наглухо.
> Hа самом деле основная проблема дырявости бинда --- исполняемый стек.
> Hа той машине, где был наложен патч от исполняемого стека таких проблем не
> наблюдалось. Hа машине, которая практически была взломана был наложен патч
> LIDS, но 1. наложенная версия патча авторами признана несколько не секьюрной,
> а во вторых в этот патч не входит патч от неисполняемого стека.
> К сожалению по неизвестной мне причине в официальных ядрах данная проблема
> присутствует. ;( Сейчас я собираюсь скрещивать lids и данный патч.
> И хотя lids мне не очень нравиться, но помочь может.
Закачал все и пока только читаю и репу чешу. А вот на счет патчика (не
LIDS а тот что от исполняемого стека) не присоветуете ли урл. А то я уж
поскольку продавился на пересборку ядра (не пойму, ну чего это бундесы
по дефолту не включают транспарентный прокси ?) так уж теперь, "гулять
так гулять", можно и патчами побалываться ;)
> lion лезет через bind используя ту же проблему со стеком. Я тут наткнулся
> на библиотеку от Avaya Labs (www.research.avayalabs.com), так вот при ее
> помощи можно избавиться от проблемы с исполняемым стеком и без патча на
> ядро. Она грузиться через LD_PRELOAD и контролирует вызовы особо опасных
> функций. Вчера проверял --- работает.
А так это libsafe ! Так значит, советуете попробовать. Спасибо.
Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
PS:И правда работает. Вот только что-бы это сработало для сервисов
подгружать надо где-нибудь в /sbin/init.d/rc , если я все правильно
понял.
--- ifmail v.2.15dev5
* Origin: intranet (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
